2013-02-27

個人資料保護法


一、前言
自1995 年起政府即制定「電腦處理個人資料保護法」,電腦處理個人資料保護法之立法目的在於建立合理使用個人資料之規範。但電腦處理個人資料保護法之規範範圍有限,已無法符合社會發展對於個人資料保護之需要。故法務部參考國外先進國家以及國際組織對於個人資料保護之相關規範及原則,提出修正草案並將該法更名為「個人資料保護法」(以下簡稱個資法),該法於2010 年4 月經立法院三讀通過,並於2010 年5 月26 日由總統府公告,行政院於2012年9月21日公告,除特種個人資料範圍與施行後影響層面較大的第6條及第54條以外,其餘條文自2012年10月1日起施行。

二、未來個資法部分條文修正草案說明
為降低個資法施行對企業與國民的立即衝擊,並考量特種資料的規範範圍,法務部提出未來修法方向如下:
(一)、修正條文第6條:
1.病歷乃屬醫療個人資料內涵之一,為避免爭議,爰增列為特種資料列舉事項。特種個人資料例外得蒐集、處理或利用之適用要件不足,增列「為維護公共利益所必要」、「經當事人書面同意」二款事由,以資適用。
2.增訂特種資料之蒐集、處理或利用及經當事人書面同意,準用本法第七條至第九條規定。
(二)、修正條文第41條:
非意圖營利而違反本法相關規定,原則上以民事損害賠償及行政罰等救濟已足夠,且觀諸其他特別法有關洩漏資料之行為縱使非意圖營利,並非皆以刑事處罰,再者,非意圖營利違反本法規定之行為,須課予刑責者,於相關刑事法規已有規範足資適用,為避免刑事政策重複規範,爰將非意圖營利違反本法相關規定之刑事處罰刪除。
(三)、修正條文第54條:
現行一年內完成告知之期限規定,於實際執行上有困難,爰參酌本法第九條規定之立法精神,修正為得於本次修正之條文施行後首次對當事人為利用時併同為之。

三、新版個資法重點解析
新版個資法的遵循原則係個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。整體法條可歸納十項重點如下:
(一)、普遍適用對象:
個資法適用的對象包含公務機關、自然人、法人,代理蒐集資料視同委託者,所有公務機關以及非公務機關(自然人、法人或團體)皆受個資法之規範,簡言之,即使原本是屬於不受「電腦處理個人資料保護法」規範的公司行號,在個資法上路後,都受到個資法所規範。
(二)、規範民事、刑事責任與行政罰則
個資法加重了民事、刑事與行政責任的相關罰則與行政監督。以民事責任而言,個資法就故意或過失的舉證責任,採取舉證責任倒置的規定(第29條),亦即非公務機關須舉證證明自己無故意或過失,而非由被害人負舉證責任。個資法並調整同一事件民事損害賠償最高總額提高至新台幣2億元,被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以新台幣5百元以上2萬元以下計算(第28、29條)。

違反新個資法規定而構成犯罪行為時,若是無營利行為將處行為人2年以下有期徒刑、拘役或併科新台幣20萬元以下罰金(告訴乃論之罪);若是有意圖營利行為將處行為人5年以下有期徒刑、拘役或併科新台幣100萬元以下罰金(第41、42條)。

個資法亦加強了行政監督的規範,中央目的事業主管機關或直轄市、縣(市)政府若發現有違法情形發生時,可以採取:
1、「按次」裁處罰鍰新台幣2萬至20萬元;
2、得為相關處分(例如公布非公務機關違法情形及其姓名與負責人等);
3、檢查時發現得沒入或可為證據之個人資料或檔案,得予扣留或複製;
4、機關與負責人(包括管理人)併罰制;
5、若認有違反本法規定而有必要時,即得派員攜帶執行文件進入非公務機關進行檢查或要求說明、提供資料(第22-26條)。

假設某公司的員工受不當利益誘惑,將公司蒐集到的客戶資料提供給徵信公司的好友,則該公司面臨的法律風險如下:
1、該公司需承擔員工疏失的結果。
2、法院於5百元以上2萬元以下罰金決定權。
3、如果是非意圖營利依法處2年以下有期徒刑,若是有意圖營利行為將處行為人5年以下有期徒刑。
4、行政機關可進行實地檢查並作成處分。
5、負責人可能同受處分並遭公開姓名。
6、企業應於查明後通知當事人。
7、事實發生五年內,或知悉情事二年內受害者皆可求償。

(三)、新增特種個人資料
個資法第2條第1項第1款定義的個人資料是指:「自然人之姓名、出生年月日、國民身分證統一編號、特徵(例如身高、體重、血型、性別)、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」個資法亦明列五種個人資料為特種個資,包含醫療、基因、性生活、健康檢查以及犯罪前科等五種。原則上不可以蒐集、處理或者利用特種個人資料,僅於具備例外情形時,始可蒐集、處理以及利用以上五種特種個人資料。

(四)、保護客體的擴大範圍
個資法對個人資料的保護,不再侷限於經電腦或自動化設備處理的個人資料,而是擴大保護經人工處理含有個人資料的紙本或其他媒介在內,以填補過去對於個人資料保護不足的缺口。

(五)、個資法規範的4個重要行為:蒐集、處理、利用、國際傳輸
個資法所規範的4個重要行為,其定義分別如下:
1.蒐集:指「以任何方式取得個人資料」;
2.處理:指「為建立或利用個人資料檔案所為資料之記錄、輸出、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送」;
3.利用:指「將蒐集之個人資料為處理以外之使用」;
4.國際傳輸:指「將個人資料做跨國(境)之處理或利用」(第2條第1項第3-6款)。

(六)、告知義務之要求
個資法第8 條及第9 條列明相關告知事項之規定,主要分為直接蒐集以及間接蒐集之情形。於直接蒐集情形,業者向資料當事人蒐集個人資料時,應明確告知當事人其公司名稱、蒐集個人資料之目的、個人資料之類別、個人資料利用之期間、地區、對象及方式等相關訊息。
而於間接蒐集之情形則為,業者蒐集非由個人資料當事人所提供之個人資料時,應於處理或利用個人資料前,向當事人告知個人資料來源以及公司名稱、蒐集個人資料之目的、個人資料之類別、個人資料利用之期間、地區、對象及方式等相關訊息。

(七)、資料當事人得拒絕行銷
個資法第20 條規定非公務機關合法於特定目的外利用個人資料行銷時,若個人資料當事人表示拒絕接受行銷,應即停止繼續利用其個人資料。除此之外,業者於首次向當事人進行行銷時,應提供當事人表示拒絕接受行銷之方式。亦即,業者應提供相關窗口以及管道使當事人可以表達拒絕接受行銷之意思。

(八)、團體訴訟的引進
個資法第34 條規定,對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益法人團體經受有損害之當事人20 人以上以書面授與訴訟實施權者,得以自己名義,提起損害賠償訴訟。

(九)、適當安全維護措施
個資法要求非公務機關保有個人資料檔案者,應採行適當之安全措施,所謂適當安全措施,係指為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必要措施。由於每個企業的規模大小不一,並非每個企業都能投入大量資源,因此企業可以考量其組織規模與保有個人資料的數量或內容,並以所需支出之費用與所欲達成之個人資料保護目的,建立技術上與組織上的必要措施。

(十)、書面同意與意思表示的意涵
個資法有不少條文都有提到「書面同意」,例如涉及蒐集、處理合法化要件的第15、19 條,以及涉及特定目的外利用之第16、20 條均為適例。而個資法第7 條第1 項規定第15 條第2 款與第19 條第5 款之書面同意是指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。為了明確書面意思表示之方式並不限於「紙本」之書面,施行細則參考
電子簽章法之規範,確認本法第7 條所定書面意思表示方式,如其內容可完整呈現,並可於日後取出供查驗者,經蒐集者及當事人同意,得以電子文件為之。

作者:怡東集團人資長暨松誼企管執行副總經理 鍾文雄

沒有留言:

張貼留言